title: ELK系列之一:安装和基本使用
categories: Linux
tags:
- ELK
timezone: Asia/Shanghai
date: 2019-02-02
ELK介绍
需求背景:
业务发展越来越庞大,服务器越来越多
各种访问日志、应用日志、错误日志量越来越多,导致运维人员无法很好的去管理日志
开发人员排查问题,需要到服务器上查日志,不方便
运营人员需要一些数据,需要我们运维到服务器上分析日志
为什么要用到ELK:
一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。
但在规模较大也就是日志量多而复杂的场景中,此方法效率低下,
面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。
需要集中化的日志管理,所有服务器上的日志收集汇总。
常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。
大型系统通常都是一个分布式部署的架构,不同的服务模块部署在不同的服务器上,问题出现时,
大部分情况需要根据问题暴露的关键信息,定位到具体的服务器和服务模块,
构建一套集中式日志系统,可以提高定位问题的效率。
一个完整的集中式日志系统,需要包含以下几个主要特点:
收集-能够采集多种来源的日志数据
传输-能够稳定的把日志数据传输到中央系统
存储-如何存储日志数据
分析-可以支持 UI 分析
警告-能够提供错误报告,监控机制
ELK简介:
ELK是三个开源软件的缩写,分别为:Elasticsearch 、 Logstash以及Kibana , 它们都是开源软件。
不过现在还新增了一个Beats,它是一个轻量级的日志收集处理工具(Agent)
Beats占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具,
目前由于原本的ELK Stack成员中加入了 Beats 工具所以已改名为Elastic Stack。
为什么被采集端使用 Filebeat ,而不用原来的 Logstash 呢?
原因很简单,资源消耗比较大。
由于 Logstash 是跑在 JVM 上面,资源消耗比较大
后来作者用 GO 写了一个功能较少但是资源消耗也小的轻量级的 Agent 叫 Logstash-forwarder。
后来作者加入 elastic.co 公司, Logstash-forwarder 的开发工作给公司内部 GO 团队来搞,最后命名为 Filebeat。
Filebeat 需要部署在每台应用服务器上,可以通过 Salt 来推送并安装配置。
image
image
整体架构
Elasticsearch :分布式搜索引擎。具有高可伸缩、高可靠、易管理等特点。可以用于全文检索、结构化检索和分析,并能将这三者结合起来。Elasticsearch 基于 Lucene 开发,现在使用最广的开源搜索引擎之一,Wikipedia 、StackOverflow、Github 等都基于它来构建自己的搜索引擎。
Kibana :可视化化平台。它能够搜索、展示存储在 Elasticsearch 中索引数据。使用它可以很方便的用图表、表格、地图展示和分析数据。
Logstash :数据收集处理引擎。支持动态的从各种数据源搜集数据,并对数据进行过滤、分析、丰富、统一格式等操作,然后存储以供后续使用。
Filebeat:轻量级数据收集引擎。基于原先 Logstash-fowarder 的源码改造出来。换句话说:Filebeat就是新版的 Logstash-fowarder,也会是 ELK Stack 在 Agent 的第一选择。
环境
[root@centos181002 httpd]# cat /etc/centos-release
CentOS Linux release 7.6.1810 (Core)
[root@centos181001 home]# java -version
java version "1.8.0_192"
Java(TM) SE Runtime Environment (build 1.8.0_192-b12)
Java HotSpot(TM) 64-Bit Server VM (build 25.192-b12, mixed mode)
Elastic Stack 6.6.0
第一步:系统初始化设置
1.关闭系统默认防火墙(支持REHL\CentOS6和7)
setenforce 0
sed -i -r "/^SELINUX=/c SELINUX=disabled" /etc/selinux/config
which systemctl && systemctl stop firewalld
which systemctl && systemctl disable firewalld
which systemctl && systemctl stop iptables || service iptables stop
which systemctl && systemctl disable iptables || chkconfig iptables off
2.安装JDK环境
Elasticsearch requires Java 8 or later. Use the official Oracle distribution or an open-source distribution such as OpenJDK.
官方建议使用Oracle JDK1.8.0.131或更高,这里我们使用的是1.8.0.192
# 解压并重命名
tar vxf jdk-8u192-linux-x64.tar.gz
mv jdk1.8.0_192 jdk
# 修改环境变量并提前备份原始文件
/bin/grep 666666 /etc/profile && /bin/cp /etc/profile.666666 /etc/profile || /bin/cp /etc/profile /etc/profile.666666
cat <>/etc/profile
export JAVA_HOME=/home/jdk
export CLASSPATH=.:\${JAVA_HOME}/jre/lib/rt.jar:\${JAVA_HOME}/lib/dt.jar:\${JAVA_HOME}/lib/tools.jar
export PATH=\$PATH:\${JAVA_HOME}/bin
EOF
source /etc/profile
第二步:安装Elasticsearch
配置文件:/etc/elasticsearch/
启动日志:/var/log/messages
默认日志:/var/log/elasticsearch
官方安装说明:https://www.elastic.co/guide/en/elasticsearch/reference/current/index.html
1.下载并安装
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.6.0.rpm
rpm -ivh elasticsearch-6.6.0.rpm
2.修改配置文件
# 1.修改监听IP和监听端口
cp /etc/elasticsearch/elasticsearch.yml /etc/elasticsearch/elasticsearch.yml.bak
vim /etc/elasticsearch/elasticsearch.yml
network.host: 11.11.11.61
http.port: 9200
# 2.为elasticsearch设置jdk路径,否则启动时候会报错
cp /etc/sysconfig/elasticsearch /etc/sysconfig/elasticsearch.bak
vim /etc/sysconfig/elasticsearch
JAVA_HOME=/home/jdk
3.启动服务
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
systemctl status elasticsearch.service
4.检查程序是否正常运行。
# 1.查看服务状态是否正常
systemctl status elasticsearch.service
# 2.查看监听端口是否正常(elasticsearch会监听9200和9300两个端口)
# 虽然我们这里是单机模式,不过9300一样会正常监听
# 9200则是数据传输时用的
# 9300端口是集群通信用的
netstat -lntp |grep java
# 3.查看进程是否正常
ps aux | grep elasticsearch
# 4.检查9200端口返回状态
# 也可以通过浏览器此地址测试:http://11.11.11.61:9200/
curl -X GET "11.11.11.61:9200/"
[root@centos181001 elasticsearch]# curl -X GET "11.11.11.61:9200/"
{
"name" : "iI1f5lo",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "1QFZh0mDQHWmW5uJJnXixw",
"version" : {
"number" : "6.6.0",
"build_flavor" : "default",
"build_type" : "rpm",
"build_hash" : "a9861f4",
"build_date" : "2019-01-24T11:27:09.439740Z",
"build_snapshot" : false,
"lucene_version" : "7.6.0",
"minimum_wire_compatibility_version" : "5.6.0",
"minimum_index_compatibility_version" : "5.0.0"
},
"tagline" : "You Know, for Search"
}
使用浏览器显示出来的也是一堆字符串,我们希望这些信息能以图形化的方式显示出来,那就需要安装kibana来为我们展示这些数据了。
第三步:安装Kibana
配置文件:/etc/kibana/
官方安装说明:https://www.elastic.co/guide/en/kibana/6.6/index.html
1.下载并安装
wget https://artifacts.elastic.co/downloads/kibana/kibana-6.6.0-x86_64.rpm
rpm -ivh kibana-6.6.0-x86_64.rpm
2.修改配置文件
# 1.修改Kibana服务监听IP、监听端口、配置elasticsearch地址
# elasticsearch为es服务器的ip,如果是集群则配置该集群中主节点的ip
cp /etc/kibana/kibana.yml /etc/kibana/kibana.yml.bak
vim /etc/kibana/kibana.yml
server.port: 5601
server.host: "11.11.11.61"
elasticsearch.hosts: ["http://11.11.11.61:9200"]
3.启动并设置开机自动启动
systemctl enable kibana
systemctl stop kibana
systemctl start kibana
systemctl status kibana
4.检查程序是否正常
# 1.检查默认监听端口
# 由于kibana是使用node.js开发的,所以进程名称为node
netstat -lntp |grep 5601
# 2.查看进程
ps aux | grep kibana
5.打开浏览器访问管理页面
打开浏览器里进行访问,由于我们并没有安装x-pack,所以此时是没有用户名和密码的,可以直接访问的。
到此我们的kibana就安装完成了,很简单,接下来就是安装logstash,不然kibana是没法用的。
http://11.11.11.61:5601
到此我们的kibana就安装完成了,很简单,接下来就是安装logstash,不然kibana是没法用的。
第四步:安装Logstash
程序如果启动错误或者端口没有正常监听,可以到/var/log/message查看日志
1.下载安装
wget https://artifacts.elastic.co/downloads/logstash/logstash-6.6.0.rpm
rpm -ivh logstash-6.6.0.rpm
2.安装以后先不要启动服务,先配置Logstash收集syslog日志并测试
1.创建文件并编辑
cat </etc/logstash/conf.d/syslog.conf
input { # 定义日志源
syslog {
type => "system-syslog" # 定义类型
port => 10514 # 定义监听端口
}
}
output { # 定义日志输出
stdout {
codec => rubydebug # 将日志输出到当前的终端上显示
}
}
EOF
cat /etc/logstash/conf.d/syslog.conf
2.检查配置文件是否有错误
/usr/share/logstash/bin/logstash \
--path.settings /etc/logstash/ \
-f /etc/logstash/conf.d/syslog.conf \
--config.test_and_exit
--path.settings 用于指定logstash的配置文件所在的目录
-f 指定需要被检测的配置文件的路径
--config.test_and_exit 指定检测完之后就退出,不然就会直接启动了
# 显示Configuration OK代表配置没问题
[root@centos181001 conf.d]# /usr/share/logstash/bin/logstash \
> --path.settings /etc/logstash/ \
> -f /etc/logstash/conf.d/syslog.conf \
> --config.test_and_exit
Sending Logstash logs to /var/log/logstash which is now configured via log4j2.properties
[2019-02-02T03:06:08,558][INFO ][logstash.setting.writabledirectory] Creating directory {:setting=>"path.queue", :path=>"/var/lib/logstash/queue"}
[2019-02-02T03:06:08,582][INFO ][logstash.setting.writabledirectory] Creating directory {:setting=>"path.dead_letter_queue", :path=>"/var/lib/logstash/dead_letter_queue"}
[2019-02-02T03:06:09,714][WARN ][logstash.config.source.multilocal] Ignoring the 'pipelines.yml' file because modules or command line options are specified
Configuration OK
[2019-02-02T03:06:21,137][INFO ][logstash.runner ] Using config.test_and_exit mode. Config Validation Result: OK. Exiting Logstash
3.配置kibana服务器的ip以及配置的监听端口:
# 1.编辑并在#### RULES ####位置增加以下行(IP地址为本机监听IP地址和端口)
vim /etc/rsyslog.conf
*.* @@11.11.11.61:10514
# 2.重启rsyslog,让配置生效
systemctl restart rsyslog
4.指定配置文件,启动logstash测试
/usr/share/logstash/bin/logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf
# 等待出现以下信息
[root@centos181001 conf.d]# /usr/share/logstash/bin/logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf
Sending Logstash logs to /var/log/logstash which is now configured via log4j2.properties
[2019-02-02T03:16:57,098][WARN ][logstash.config.source.multilocal] Ignoring the 'pipelines.yml' file because modules or command line options are specified
[2019-02-02T03:16:57,192][INFO ][logstash.runner ] Starting Logstash {"logstash.version"=>"6.6.0"}
[2019-02-02T03:16:57,259][INFO ][logstash.agent ] No persistent UUID file found. Generating new UUID {:uuid=>"b98c03ce-ca73-4b08-a392-653913d80883", :path=>"/var/lib/logstash/uuid"}
[2019-02-02T03:17:11,739][INFO ][logstash.pipeline ] Starting pipeline {:pipeline_id=>"main", "pipeline.workers"=>1, "pipeline.batch.size"=>125, "pipeline.batch.delay"=>50}
[2019-02-02T03:17:12,794][INFO ][logstash.pipeline ] Pipeline started successfully {:pipeline_id=>"main", :thread=>"#"}
[2019-02-02T03:17:12,892][INFO ][logstash.inputs.syslog ] Starting syslog udp listener {:address=>"0.0.0.0:10514"}
[2019-02-02T03:17:12,913][INFO ][logstash.inputs.syslog ] Starting syslog tcp listener {:address=>"0.0.0.0:10514"}
[2019-02-02T03:17:13,011][INFO ][logstash.agent ] Pipelines running {:count=>1, :running_pipelines=>[:main], :non_running_pipelines=>[]}
[2019-02-02T03:17:13,751][INFO ][logstash.agent ] Successfully started Logstash API endpoint {:port=>9600}
5.检查10514端口是否已被监听
netstat -antp | grep 10514
6.用另外机器ssh登录到这台服务器,看看是否有日志输出
应该可以看到很多以JSON的格式打印的收集到的日志
3.配置Logstash
以上只是测试的配置,这一步我们需要重新改一下配置文件,让收集的日志信息输出到es服务器中,而不是当前终端
1.编辑配置文件
cat </etc/logstash/conf.d/syslog.conf
input {
syslog {
type => "system-syslog"
port => 10514
}
}
output {
elasticsearch {
hosts => ["11.11.11.61:9200"] # 定义es服务器的ip
index => "system-syslog-11.11.11.61-%{+YYYY.MM}" # 定义索引
}
}
EOF
cat /etc/logstash/conf.d/syslog.conf
2.为Logstash手动指定JAVA_HOME,否则启动程序会报错
cp /usr/share/logstash/bin/logstash.lib.sh /usr/share/logstash/bin/logstash.lib.sh.bak
vim /usr/share/logstash/bin/logstash.lib.sh
JAVA_HOME=/home/jdk
3.检测配置文件是否有错误
/usr/share/logstash/bin/logstash \
--path.settings /etc/logstash/ \
-f /etc/logstash/conf.d/syslog.conf \
--config.test_and_exit
4.将以下两个文件夹所有者改为logstash,否则启动的时候会因为没有权限报错
chown -R logstash:logstash /var/log/logstash/
chown -R logstash:logstash /var/lib/logstash/
5.修改Logstash默认监听IP
cp /etc/logstash/logstash.yml /etc/logstash/logstash.yml.bak
vim /etc/logstash/logstash.yml
http.host: "11.11.11.61"
4.测试OK后启动并设置开机自动启动
systemctl enable logstash
systemctl stop logstash
systemctl start logstash
systemctl status logstash
5.检查是否是否正常启动
# 1.检查进程
ps aux |grep logstash
# 2.查看服务状态
systemctl status logstash
# 3.查看监听端口
netstat -antp | grep -E '9600|10514'
6.可以使用以下命令查看索引
curl '11.11.11.61:9200/_cat/indices?v'
# 这里可以看到上边我们配置的:
# index => "system-syslog-11.11.11.61-%{+YYYY.MM}" # 定义索引
第五步:登录Kibana查看
到这里我们已经可以实现了将本地的message日志归档并可使用Kibana查看
1.登录Kibana
http://11.11.11.61:5601
2.需要设置索引才能够查看。
- Management
- Create index pattern
- 选择刚才添加索引名称,可以使用通配符,比如:system-syslog*,然后点击【Next step】
- 选择【@timestamp】后点击【Create index pattern】
3.查看日志
- Discover
在这里可以跟在搜索框里搜索任意想要查找的日志内容。
第六步:使用Filebeat采集日志
之前也介绍过beats是ELK体系中新增的一个工具,它属于一个轻量的日志采集器,以上我们使用的日志采集工具是logstash,但是logstash占用的资源比较大,没有beats轻量,所以官方也推荐使用beats来作为日志采集工具。而且beats可扩展,支持自定义构建。
这里我们新增一台测试服务器11.11.11.62来安装Filebeat并将日志发送到ES服务器
1.关闭系统默认防火墙(支持REHL\CentOS6和7)
setenforce 0
sed -i -r "/^SELINUX=/c SELINUX=disabled" /etc/selinux/config
which systemctl && systemctl stop firewalld
which systemctl && systemctl disable firewalld
which systemctl && systemctl stop iptables || service iptables stop
which systemctl && systemctl disable iptables || chkconfig iptables off
2.下载安装
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.6.0-x86_64.rpm
rpm -ivh filebeat-6.6.0-x86_64.rpm
3.测试配置
1.先将配置文件备份
cp /etc/filebeat/filebeat.yml /etc/filebeat/filebeat.yml.bak
2.过滤掉#开头的备注内容和空行,方便修改查看
cat /etc/filebeat/filebeat.yml.bak | grep -v '^#' | grep -v '^ #' | grep -v '^$' > /etc/filebeat/filebeat.yml
3.修改配置文件
[root@centos181002 ~]# cat /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
# 本行注释掉
# enabled: false
# 这里是日志路径可以有多条
paths:
# - /var/log/*.log
- /var/log/messages
#- c:\programdata\elasticsearch\logs\*
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
setup.template.settings:
index.number_of_shards: 3
setup.kibana:
# 这里先注释掉,设定输出到控制台先测试
#output.elasticsearch:
# hosts: ["localhost:9200"]
# 新增这里,让日志输出到控制台,以测试
output.console: # 指定在终端上输出日志信息
enable: true
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
4.修改完以上配置后执行以下命令,查看是否有日志输出,终端内有打印日志说明配置正常
/usr/share/filebeat/bin/filebeat -c /etc/filebeat/filebeat.yml
4.修改为正式配置文件并启动程序
1.修给配置文件为以下内容
[root@centos181002 ~]# cat /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
# 本行注释掉
# enabled: false
# 这里是日志路径可以有多条
paths:
# - /var/log/*.log
- /var/log/messages
#- c:\programdata\elasticsearch\logs\*
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
setup.template.settings:
index.number_of_shards: 3
setup.kibana:
# 这里设定ES服务器地址
output.elasticsearch:
hosts: ["11.11.11.61:9200"]
# 新增这里,让日志输出到控制台,以测试,测试部分注释掉
#output.console: # 指定在终端上输出日志信息
# enable: true
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
2.启动Filebeat服务并设置开机自动启动
systemctl enable filebeat
systemctl stop filebeat
systemctl start filebeat
systemctl status filebeat
3.查看服务是否正常
# 1.查看服务状态
systemctl status filebeat
# 2.查看进程
ps aux | grep filebeat
# 3.查看ES服务器上是否新增了一个以filebeat-6.0.0开头的索引
# 这就代表filesbeat和es能够正常通信了
curl '11.11.11.61:9200/_cat/indices?v'
4.登录ES管理页面,配置索引,并查看日志。
- 登录页面:http://11.11.11.61:5601
- Management
- Index Patterns
- Create index pattern
- 填写Index pattern(索引模式,支持通配符,比如:filebeat-6.6.0*)后【Next step】
- Time Filter field name选择【@timestamp】后点击【Create index pattern】
- 到Discover可以查看系统收集到的日志。
5.在以上基础上增加httpd日志搜集
因为filebeat日志路径是支持多条的,所以这里只需要将需要采集的日志路径填入配置文件即可。
1.安装httpd
yum install -y httpd
2.修改filebeat配置文件以搜集httpd日志
httpd默认日志路径:/var/log/httpd/
vim /etc/filebeat/filebeat.yml
在paths:处增加以下内容:
- /var/log/httpd/
3.重启Filebeat服务并启动httpd服务
systemctl stop filebeat
systemctl start filebeat
systemctl start httpd
systemctl status filebeat httpd
4.打开浏览器访问httpd服务,并到ES服务器查看是否有httpd日志被采集。
第六步:汉化
作者主页:https://github.com/anbai-inc
结语:到这里ELK的架设和简单使用基本OK,更深入的使用和其他内容将抽时间继续整理。
附录:
所用到离线包下载:https://pan.baidu.com/s/16uVQL-d5HdgjajzCpY2e3g
官方安装:https://www.elastic.co/guide/en/elastic-stack/current/installing-elastic-stack.html
中文官网:https://www.elastic.co/cn/products
ELKstack中文指南:https://elkguide.elasticsearch.cn/logstash/examples/nginx-access.html
不错的文章(亿级 ELK 日志平台构建实践):http://blog.51cto.com/13527416/2117141
搭建ELK日志分析平台(上)—— ELK介绍及搭建 Elasticsearch 分布式集群:http://blog.51cto.com/zero01/2079879
搭建ELK日志分析平台(下)—— 搭建kibana和logstash服务器:http://blog.51cto.com/zero01/2082794